Wer keine Auskunft erteilt, sondern die Daten löscht riskiert eine DSGVO-Strafe Erstes Straferkenntnis der DSB nach der EuGH-Entscheidung Deutsches Wohnen.    

Die DSB (2023-0.789.858, 11.12.2023) hat nur drei Tage nach der EuGH-entscheidung die erste Geldstrafe verhängt. Es ist nicht nötig, dass eine natürliche Person identifiziert wird, die den DSGVO-Verstoß begangen hat. Die Strafbestimmung in Art 83 DSGVO ist abschließend.

EUR 9.500,-- Strafe wegen Löschung statt Auskunft

Ein Verantwortlicher hat einen Antrag einer betroffenen Person nicht als Auskunftsanfrage iSd Ar 15 DSGVO gewertet, sondern als Löschungsantrag nach Art 17 DSGVO. Die Daten wurden gelöscht, und nicht beaufkunftet.

Die DSB verhängte eine Geldstrafe von EUR 9.500,-- gegen den Verantwortlichen, und dieser muss auch die Verfahrenskosten (10% der Strafe) von EUR 950,-- bezahlen.

Der Verantwortliche teilte der DSB lediglich mit, dass der Antrag auf Löschung erfüllt worden sei. Die DSB konnte dies nicht nachvollziehen, und hat im Verfahren GZ: D124.0368/23 - 2023-0.282.190. mit Bescheid vom 17.5.2023 festgestellt, dass der Verantwortliche die betroffene Person in ihrem Recht auf Auskunft dadurch verletzt hat, dass der Verantwortliche dem Auskunftsbegehren nicht nachgekommen ist.

In der weiteren Folge leitete die DSB ein Verwaltungsstrafverfahren gegen den Verantwortlichen ein, das nun mit der Geldstrafe endete. In diesem Verfahren bzw. dem Straferkenntnis nimmt die DSB soweit überblickbar erstmalig auf die Kriterien Bezug, die im Verfahren Deutsches Wohnen (C-807/21) vom EuGH bestätigt wurden.

Erste Schritte im Verwaltungsstrafverfahren
Zu Beginn des Verfahrens forderte die DSB den Verantwortlichen zur Rechtfertigung und Bekanntgabe des Jahresumsatzes auf.

Rechtfertigung des Verantwortlichen
Der Verantwortliche gestand die Tathandlung ein,und „führte hierzu ins Treffen, dass der für die Erteilung von Auskunftsbegehren zuständige  Datenschutzbeauftragte“ (Herr Mag. D***) bedauerlicherweise „rechtsirrig“ davon ausgegangen sei, dass die betroffene Person eine Löschung ihrer Daten begehrte und sei der Datenschutz­beauftragte (im Folgenden „DSBA“) auch im Laufe des Beschwerdeverfahrens dem Irrtum unterlegen. Der DSBA könne selbst nicht nachvollziehen, weshalb es zu dieser Fehlleistung seinerseits kam.“

Aussetzung bis zur Entscheidung Deutsches Wohnen (C-807/21) und Fortsetzung am 5.12.2023
Kurz nach der Stellungnahme setzte die DSB das Verfahren bis zur Entscheidung im EuGH-Verfahren Deutsches Wohnen (C-807/21) aus. Bereits am 5.12.2023 (nach der EuGH-Entscheidung) führte die DSB das Verfahren fort.

Der Jahresumsatz des Verantwortlichen wurde mit 98.1 Mio EUR angegeben.

Entscheidung der DSB und Kriterien für die Bestrafung von juristischen Personen
Auf ca. 10 Seiten setzt sich die DSB mit der Verhängung der Geldstrafe auseinander. Ab Punkt 3.3. beschäftigt sich die DSB explizit mit der Frage, wie gegen eine juristische Person eine Geldstrafe zu verhängen ist.

„3.3.  Zur Strafbarkeit der Beschuldigten als juristische Person

Die Voraussetzungen für die Verhängung von Geldbußen sowohl gegen natürliche Personen als auch gegen juristische Personen werden in Art. 83 DSGVO normiert. [...]

Der EuGH hielt schließlich im Urteil vom 05.12.2023  fest, dass die unmittelbar anwendbaren Bestimmungen nach Art. 58 Abs. 2 lit. i und Art. 83 Abs. 1 bis 6 DSGVO  dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen , wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person  zugerechnet wurde.

Der EuGH führte in diesem Zusammenhang aus, dass juristische Personen nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch  für Verstöße, die von jeder anderen Person begangen wurde, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte. Außerdem müsse es möglich sein, die in Art. 83 DSGVO vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen (vgl. EuGH vom 05.12.2023, C-807/21, Rz 44).

Die (materiellen) Voraussetzungen für die Verhängung von Geldbußen durch Aufsichtsbehörden sind in Art. 83 Abs. 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten geregelt. Die DSGVO enthält keine Bestimmung, wonach die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche davon abhängt, dass zuvor festgestellt wird, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde. Die DSGVO räumt den Mitgliedstaaten lediglich die Möglichkeit/Befugnis ein, Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße vorzusehen, jedoch keineswegs über diese verfahrensrechtlichen Anforderungen hinaus die Normierung von materiellen Voraussetzungen, die zu jenen in Art. 83 Abs. 1 und 6 DSGVO hinzutreten  (vgl. EuGH C-807/21, Rn 45 ff).

Die Voraussetzungen für die Verhängung einer Geldbuße nach Art. 83 DSGVO durch eine Aufsichtsbehörde ergeben sich daher ausschließlich durch das Unionsrecht. Es liegen keine Öffnungsklausen in diesem Zusammenhang für die Mitgliedstaaten vor.

Der EuGH führte hierzu ins Treffen, dass eine nationale Regelung, die zusätzliche Anforderungen für die Verhängung von Geldbußen nach Art. 83 DSGVO normiert, gegen Art. 83 Abs. 1 DSGVO verstößt, weil dadurch die Wirksamkeit und die abschreckende Wirkung von Geldbußen geschwächt wird, die gegen juristische Personen verhängt werden. Dabei muss berücksichtigt werden, dass Geldbußen ein Schlüsselelement der DSGVO  darstellen und zur Durchsetzung der Ziele dieser Verordnung dienen bzw. die Wahrung der Rechte betroffener Personen gewährleisten und ein hohes Schutzniveau unionsweit sicherstellen (vgl. EuGH C-807/21, Rz 51 und 73). Im Ergebnis stellte der EuGH daher fest, dass die Voraussetzungen für die Verhängung einer Geldbuße nach Art. 83 DSGVO abschließend in Art. 83 Abs. 1 bis 6 DSGVO geregelt  sind (Rn 53).

3.4.    Zur subjektiven Tatseiten

Der EuGH hat in Bezug auf die zweite Vorlagefrage, wie schon bereits von der Datenschutzbehörde in ihrer bisherigen Spruchpraxis angenommen, nun explizit festgehalten, dass nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d.h. vorsätzlich oder fahrlässig begeht, zur Verhängung einer Geldbuße führen können (vgl. EuGH vom 05.12.2023, C-807/21, Rz 68).

In Bezug auf die subjektive Tatseite ist zu berücksichtigen, dass die Voraussetzung des Verschuldens für die Verhängung einer Geldbuße nach Art. 83 DSGVO unionsautonom auszulegen und insbesondere im Lichte der Rechtsprechung des EuGH zu beurteilen ist. Auch zur Vorlagefrage in Bezug auf das Verschulden stellte der EuGH fest, dass den Mitgliedstatten in diesem Zusammenhang  kein Ermessensspielraum  durch den Unionsgesetzgeber für nationale Regelungen eingeräumt wurde, da die materiellen Voraussetzungen abschließend in Art. 83 Abs. 1 bis 6 DSGVO genau geregelt sind (vgl. hierzu auch EuGH vom 05.12.2023, C-683/21, Rz 64 ff).

Zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und daher mit einer Geldbuße geahndet werden kann, stellte der EuGH in seinem oben zitierten Urteil gleichzeitig klar, dass ein solches Verschulden bereits vorliegt, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76).

Unter Verweis auf weitere Rechtsprechung stellte der EuGH zudem ausdrücklich klar, dass die Anwendung von Art. 83 DSGVO gegenüber juristischen Personen keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt  (vgl. EuGH vom 05.12.2023, C-807/21, Rz 77).

Die Verantwortung und Haftung eines Verantwortlichen erstreckt sich dabei auf

jedwede Verarbeitung personenbezogener Daten, die durch oder in seinem Namen erfolgt. In diesem Rahmen muss der Verantwortliche nicht nur geeignete und wirksame Maßnahmen treffen, sondern muss er auch nachweisen können, dass seine Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die er ergriffen hat, um diesen Einklang sicherzustellen, auch wirksam  sind (vgl. EuGH C-807/21, Rz 38, unter Verweis auf ErwGr 74).

Umgelegt auf den vorliegenden Fall bedeutet dies Folgendes:

Zunächst ist festzuhalten, dass es im Rahmen des Ermittlungsverfahrens keine Anhaltspunkte  dafür gab, dass die gegenständlichen Verstöße von einer Person begangen wurden, die nicht im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte. Die Beschuldigte gab selbst hierzu an, dass der gegenständliche Antrag auf Auskunft vom DSBA im Namen der Beschuldigten bearbeitet wurde. Für die Behandlung der Anfrage ist jedoch, wie bereits oben festgestellt, nicht der DSBA, sondern die Beschuldigte in ihrer Rolle nach Art. 4 Z 7 DSGVO verantwortlich (siehe auch Art. 5 Abs. 2 DSGVO).

Dem Urteil des EuGH zufolge ist es für die Verhängung einer Geldbuße gegen eine juristische Person jedoch nicht erforderlich, dass die Datenschutzbehörde eine identifizierte natürliche Person, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte, in ihrer Entscheidung anführt und das Handeln dieser Person der juristischen Person zurechnet.

Es ist daher im vorliegenden Fall auch nicht entscheidungserheblich, ob und welches Vorstandsmitglied der Beschuldigten (bzw. Führungsperson im Sinne des § 30 Abs. 1 DSG) die gegenständlichen Verstöße zu verantworten hat. In diesem Zusammenhang stellte der EuGH ausdrücklich klar, dass keine Handlung und nicht einmal eine Kenntnis über den Verstoß seitens des Leitungsorgans für die Anwendung des Art. 83 DSGVO erforderlich ist (Rz 77). Es kann somit dahingestellt bleiben, ob die Vorstandsmitglieder aufgrund objektiver Sorgfaltswidrigkeit eine Aufsichtspflichtverletzung gegenüber dem DSBA erfüllten.

Mit anderen Worten: Das Verschulden der Beschuldigten im vorliegenden Fall wird anhand des Verhaltens des DSBA beurteilt und es bedarf keiner Aufsichtspflichtverletzung durch eine Führungsperson im Sinne des § 30 Abs. 2 DSG, um das Verhalten des DSBA der juristischen Person zuzurechnen und Art. 83 DSGVO zur Anwendung zu bringen.

Im Lichte des als erwiesen angenommen Sachverhalts wird von der Datenschutzbehörde keine vorsätzliche Tathandlung durch die Beschuldigte angenommen. Die Beschuldigte hat als Verantwortliche letztendlich durch ihren DSBA beschlossen, dass der Antrag auf Auskunft als ein Antrag auf Löschung gewertet und die Löschung in Folge vorgenommen wird. Die Erfüllung der subjektiven Tatseite wird von der Beschuldigten auch nicht bestritten (siehe schriftliche Rechtfertigung, Punkt. 4.3.). Sie gab hierzu selbst an, dass weder sie noch der DSBA diese Fehlleistung nicht nachvollziehen können.

Im Laufe des Ermittlungsverfahrens ergaben sich jedenfalls keine Hinweise darauf, dass der Beschuldigten an der Verletzung der gegenständlich anzuwendenden Verwaltungsvorschriften kein Verschulden trifft. Die Beschuldigte konnte sich im Lichte der Rechtsprechung des EuGH über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein, unabhängig davon, ob ihr dabei bewusst war, dass sie gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76 und 77; EuGH C-683/21, Rz 81 und 82 mwN). Es ergaben sich jedoch keine Anhaltspunkte für (1) eine  vorsätzliche und  (2) systematische

 Verletzung im Recht auf Auskunft.

Im Ergebnis liegt Verschulden in Form von Fahrlässigkeit (Art. 83 Abs. 2 lit. b DSGVO) vor. Dadurch ist die subjektive Tatseite ebenfalls erfüllt.

4. Zur Strafzumessung ist Folgendes festzuhalten:

Gemäß  Art. 83 Abs. 1 DSGVO hat die Datenschutzbehörde sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gegen die unter Sanktion gestellten Bestimmungen der DSGVO (Art. 83 Abs. 4, 5 und 6 DSGVO) in jedem Einzelfallwirksam, verhältnismäßig und abschreckend  ist. Näherhin bestimmt  Art. 83 Abs. 2 DSGVO, dass bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall bestimmte Kriterien  gebührend zu berücksichtigen sind.

Die Datenschutzbehörde hat im Rahmen der Strafbemessung die Leitlinien des EDSA betreffend Berechnung von Geldbußen nach der DSGVO (vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1 vom 24.05.2023 – im Folgenden „Fines-Leitlinien“) zur Anwendung gebracht.

Die Strafbemessung innerhalb eines gesetzlichen Strafrahmens ist zudem eineErmessensentscheidung  die nach den vom Gesetzgeber festgelegten Kriterien vorzunehmen ist (vgl. VwGH 05.09.2013, 2013/09/0106).

Gemäß § 19 Abs. 1 VStG sind die Grundlagen für die Bemessung der Strafe die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat. Überdies sind nach dem Zweck der Strafdrohung die in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen (dies gilt naturgemäß nur für natürliche Personen, ist aber sinngemäß auf juristische Personen zu übertragen); dies allerdings nur in dem Ausmaß, als nicht die unmittelbar zur Anwendung gelangenden Bestimmungen der DSGVO die Bestimmungen des VStG verdrängen und in dem Umfang, welcher von Art. 83 Abs. 8 DSGVO und Erwägungsgrund 148 im Hinblick auf die zu gewährleistenden Verfahrensgarantien angeordnet wird.

Gemäß Art. 83 Abs. 5 DSGVO  werden im Falle der dort genannten Verstöße, im Einklang mit Abs. 2, Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes  des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

Im vorliegenden Fall gelangt der dynamische Strafrahmen bis zu 4% des Jahresumsatzes nicht  zur Anwendung.

Der Begriff Umsatz  in Art. 83 Abs. 4, 5 und 6 DSGVO ist im Sinne des Art. 2 Z 5 der Richtlinie 2013/34/EU  des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Jahresabschluss, den konsolidierten Abschluss und damit verbundene Berichte von Unternehmen bestimmter Rechtsformen, zur Änderung der Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinien 78/660/EWG und 83/349/EWG des Rates (im Folgenden „Richtlinie 2013/34/EU“) zu verstehen.

Umsatz ist die Summe aller verkauften Waren und Dienstleistungen. Nettoumsatz ist der Betrag, der sich aus dem Verkauf von Produkten und der Erbringung von Dienstleistungen nach Abzug von Erlösschmälerungen und der Mehrwertsteuer (MwSt) sowie sonstigen direkt mit dem Umsatz verbundenen Steuern ergibt (vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1, Rz 128 ff).

Die Beschuldigte hat im Jahr 2022, wie festgestellt, einen Jahresumsatz in der Höhe von EUR 98.1*3.4**,43 erzielt (Betriebserträge). Unter Anwendung der Fines-Leitlinien wird die Beschuldigte in Bezug auf ihren Umsatz und im Hinblick auf die Verhängung einer wirksamen, abschreckenden und verhältnismäßigen Geldbuße in die Kategorie „Undertakings with a turnover of €50m up until €100m“ eingestuft. Durch diese Einstufung wird die Unternehmensgröße gebührend berücksichtigt, um insbesondere die Verhältnismäßigkeit der Geldbuße zu gewährleisten.

Im Lichte des als erwiesen angenommenen Sachverhalts und unter Berücksichtigung der Art, Schwere und Dauer des Verstoßes (Art. 83 Abs. 1 lit. a DSGVO), der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Art. 83 Abs. 2 lit. b DSGVO) sowie die Kategorien personenbezogener Daten, die vom Verstoß betroffen sind (Art. 83 Abs. 2 lit. g DSGVO) wird von der Datenschutzbehörde dieSchwere der Zuwiderhandlung  („Seriousness of the infringement“) mit einem niedrigen Schweregrad („low level of seriousness“) festgelegt. Die Beschuldigte brachte in diesem Zusammenhang zutreffend vor, dass der Verstoß eine einzelne natürliche Person betraf. Das Ermittlungsverfahren ergab keine Anhaltspunkte dafür, dass der gegenständliche Verstoß vorsätzlich oder systematisch durch die Beschuldigte erfolgte. Die Beschuldigte handelte zudem, wie oben bereits ausgeführt, fahrlässig.

Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus (über die bereits für die Feststellung des Schweregrades berücksichtigten Kriterien nachArt. 83 Abs. 1 lit. a, b und g DSGVO  hinaus) bei der Strafzumessung Folgendes erschwerend berücksichtigt:           

Keine (der Umstand, dass die Beschuldigte eine betroffene Person ihrem verfassungsrechtlich verankertem Recht auf Auskunft - § 1 Abs. 3 Z 1 DSG; Art. 8 Abs. 2 GRC – verletzte, hat die DSB bereits im Zuge der Festlegung des Schweregrades berücksichtigt – siehe oben).

Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus bei der Strafzumessung Folgendes mildernd berücksichtigt:

-    gegen die Beschuldigte liegen bei der DSB keinerlei einschlägige frühere Verstöße

 gegen die DSGVO vor.

-    die Beschuldigte hat im Rahmen des gegenständlichen Ermittlungsverfahrens vor der DSB mitgewirkt und dadurch einen Beitrag zur Wahrheitsfindung geleistet, indem sie insbesondere den vorgeworfenen Sachverhalt nicht in Abrede stellte, ihr Fehlverhalten einräumte und sich nach Zustellung der Aufforderung zur Rechtfertigung einsichtig zeigte. Die Beschuldigte zeigte sich reuig und die DSB geht davon aus, dass sie künftig eine derartige Verletzung von Rechten einer betroffenen Person nicht vornehmen wird.

-  Die DSB übersieht zudem nicht, dass die Beschuldigte nach Zustellung des Bescheides im Beschwerdeverfahren der Betroffenen zumindest eine Auskunft über die noch vorhandenen (von der vorgenommenen Löschung nicht umfassten) personenbezogenen Daten erteilte, um dem Bescheid der DSB zu entsprechen und die Beeinträchtigung des verwaltungsstrafrechtlich geschützten Rechtsgutes zu reduzieren. Dies führte im konkreten Fall ebenfalls zu einer Strafmilderung, jedoch unter der Berücksichtigung, dass die Betroffene mehrere Monate warten und ihr Recht auf Beschwerde nach Art. 77 DSGVO iVm § 24 DSG in Anspruch nehmen musste.

Bei der Bemessung der Geldbuße dürfen nach ständiger Rechtsprechung des VwGH auch Überlegungen der Spezialprävention und Generalprävention  einbezogen werden (vgl. VwGH 15.5.1990, 89/02/0093, VwGH 22.4.1997, 96/04/0253, VwGH 29.1.1991, 89/04/0061). Die Verhängung der konkreten Geldstrafe war nicht im Sinne der Spezialprävention notwendig, um die Beschuldigte von der Begehung weiterer Verstöße abzuhalten. Die Verhängung der Geldstrafe war jedoch im Sinne der Generalprävention erforderlich, um Verantwortliche in Bezug auf ihre Pflichten nach der DSGVO, insbesondere im Zusammenhang mit der (fristgerechten) Behandlung und Gewährleistung von Rechten der Betroffenen gemäß den Art. 12 bis 22 DSGVO, zu sensibilisieren.

Die im Ergebnis konkret verhängte Strafe in der Höhe von EUR 9.500 erscheint daher im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Art. 83 Abs. 5 DSGVO (hier bis zu EUR 20.000.000) und dem festgestellten Jahresumsatz in der Höhe von circa EUR 98.000.000,- tat- und schuldangemessen  und befindet sich aufgrund der Milderungsgründe am untersten Ende des zur Verfügung stehenden Strafrahmens (0,05% des Strafrahmens). Für eine weitere Herabsetzung der Sanktion besteht kein Raum. Ein (noch) niedrigerer Betrag würde im vorliegenden Fall den in Art. 83 Abs. 1 DSGVO normierten Kriterien für eine Geldbuße nicht mehr gerecht werden.“

Hier der Link zum Volltext der Entscheidung über unseren Kooperationspartner Gesetzefinden.at